Ktoś mógł przez 4 lata wyciągać dane Polaków z państwowego rejestru
To wygląda na grube naruszenie bezpieczeństwa danych. Główny Geodeta Kraju poinformował, że ktoś przez 4 lata buszował po jego serwerach, gdzie dostępne były dane z ksiąg wieczystych, a w nich także dane osobowe Polaków. Może to dotyczyć milionów osób.
Komunikat urzędu jak to tego typu komunikaty jest dość sztywny, więc uprośćmy go na potrzeby artykułu.
Gdzie się włamano (w komunikacie mowa o "nieuprawnionym dostępie")? Na serwery Integracji Głównego Urzędu Geodezji i Kartografii.
Co stamtąd wyciągano? Pewności nie ma żadnej, ale poprzez te serwery możliwy był dostęp do ksiąg wieczystych nieruchomości na terenie całego kraju (!). Co za tym idzie, dostępne były także dane osób, do których te nieruchomości należą. Chodzi o: imiona i nazwiska, imiona rodziców, PESEL-e i dane dotyczące samej nieruchomości.
Ile rekordów (zbiorów danych dot. jednej osoby/nieruchomości) mogło wyciec? Tutaj sprawa jest trudna do określenia. Z jednej strony księgę wieczystą można założyć na działkę, budynek, lokal użytkowy, mieszkanie lub garaż. Z drugiej strony nie ma obowiązku jej zakładania, więc nie jest tak, że wszyscy właściciele wymienionych nieruchomości mają swe księgi.
Ponadto Główny Urząd Geodezji i Kartografii nie umie ocenić, o danych ilu osób jest mowa. "Dotyczy to trudnej do określenia liczby osób z obszaru całego kraju posiadających nieruchomości, dla których prowadzone są księgi wieczyste w systemie EKW, i których numery wpisane zostały do ewidencji gruntów i budynków".
Kiedy doszło do "nieautoryzowanego dostępu"? I właśnie to jest kolejny powód, przez który trudno ocenić skalę szkód. Otóż ktoś miał ów dostęp od 6 lipca 2018 roku do 25 lipca 2022, czyli przez ponad cztery lata!
Kto za tym stoi? Oczywiście w komunikacie nie jest to podane, ale można z niego wyczytać jedną interesującą informację. Urząd podaje, że numer IP, z którego ktoś wchodzi do baz danych, należy do "zewnętrznego podmiotu gospodarczego, nieposiadającego wymaganych umów/upoważnień GUGIK w tym zakresie oraz haseł dostępowych".
Możliwy wyciąg ksiąg wieczystych
Z jednej strony "zewnętrzny podmiot gospodarczy" może oznaczać po prostu IP teleoperatora. Z drugiej skoro dostęp był nieuprawniony, równie dobrze urząd może mieć trop czegoś poważniejszego. Standardowo dostęp do księgi wieczystej w rejestrze Elektroniczne Księgi Wieczyste prowadzonym przez Ministerstwo Sprawiedliwości jest darmowy. Trzeba jednak znać numer konkretnej księgi.
W sieci z kolei można znaleźć serwisy, które za opłatą kilkudziesięciu złotych udostępniają polskie księgi wieczyste bez potrzeby posiadania jej numeru. Wystarczy wpisać adres. Być może to tego typu podmiot gospodarczy w jakiś sposób uzyskał dostępy i handlował księgami.
Zapytaliśmy o to Główny Urząd Geodezji i Kartografii. Gdy dostaniemy odpowiedzi, zaktualizujemy artykuł.
Zdjęcie główne: Grand Warszawski/Shutterstock
